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(57) Abstract: The invention concerns a method for secure data exchange between two locally interconnected devices. In a preferred 
embodiment, the first device (10) is a security module containing a first encryption key, called private key (PAKV) of a pair of 
asymmetric encryption keys. The second device is a receiver (11) comprising at least a second encryption key, called public key 
(PAKB) of said pair of asymmetric encryption keys. Each of the devices further comprises a symmetric key (13). The first device 
(10) generates a first random number (A) which is encrypted by means of the private key (PAKV), then transmitted to the second 
device (11), wherein it is decrypted by means of the public key (PAKB). The second device (1 1) generates a second random number 
(B) which is encrypted by means of said public key (PAKB), then transmitted to the first device ( 10), wherein it is decrypted by means 
of the private key (PAKV). A session key (SK), used for secure data exchanges, is generated by a combination of the symmetric key 
and the random numbers (A, B) generated and received by each of the devices. 
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(57) Abrege : La presente invention concerne un proceed d* echange securise* d* informations entre deux dispositifs localement 
connected entre eux.Dans un mode de realisation pr£f£re\ le premier dispositif (10) est un module de security contenant une premiere 
cl6 de chiffrement, dite cle* privee (PAKV) d'une paire de cles de chiffrement asym&riques. Le second dispositif est un recepteur 
(11) comportant au moins une seconde cl6 de chiffrement, dite cle* publique (PAKB) de ladite paire de cles de chiffrement asym6- 
triques. Chacun des dispositifs comporte en outre une cle" symetrique (13). Le premier dispositif (10) genere un premier nombre 
aleatoire (A) qui est chiffr6 par ladite c\6 privee (PAKV), puis transmis au second dispositif (11), dans lequel il est dechiffrg au moy en 
de la cl6 publique (PAKB). Le second dispositif (11) genere un second nombre aleatoire (B) qui est chiffre* par ladite cle* publique 
(PAKB), puis transmis au premier dispositif (10), dans lequel il est dechiffre" au moyen de la cl6 privee (PAKV). Une cl6 de session 
(SK), utilisee pour les echanges securis£s d' informations, est generee par une combinaison de la cl6 symetrique (13) et des nombres 
aleatoires (A, B) generes et recus par chacun des dispositifs. 
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PROCEDE D'ECHANGE SECURISE D'INFORMATIONS ENTRE 

DEUX DISPOSITIFS. 

La presente invention concerne un procede d'echange securise 
d'informations entre deux dispositifs localement connectes entre eux, 
5 notamment entre un recepteur et un module de securite. 

Elle concerne egalement un recepteur agence pour mettre en oeuvre le 
procede selon Pinvention. 

II existe actuellement des procedes securises permettant d'echanger 
des informations entre deux dispositifs tels qu'un recepteur et un 
10 module de securite, par exemple dans le domaine de la television a 
peage. 

Un tel procede est notamment decrit dans la demande internatidnale de 
brevet publiee sous le N° WO 97/38530. Selon ce procede, le recepteur 
contient une cl6 de chiffrement asymetrique publique et le module de 

15 securite contient la cle de chiffrement asymetrique privee 
correspondante. Au moment de ('initialisation du procede, c'est-a-dire 
par exemple lorsque le module de securite est insere dans le recepteur," 
le recepteur genere un nombre aleatoire A et une cle aleatoire Ci. Les 
deux elements aleatoires sont chiffres par la cle publique du recepteur, 

20 puis envoye, sous forme chiffree, au module de securite. Le nombre 
aleatoire et la cle aleatoire sont alors dechiffres au moyen de la cle 
privee. 

Selon un mode de realisation particulier, le nombre aleatoire A, 
dechiffre avec la cle privee, peut ensuite etre chiffre dans le module de 
25 securite au moyen de la cle aleatoire Ci, et renvoye au recepteur, puis 
dechiffre dans le recepteur au moyen de la meme cle aleatoire 
initialement generee. Le nombre aleatoire A' obtenu a ce stade est 
compare a celui, A, genere par le recepteur afin de verifier que le 
module de securite correspond bien a celui qui doit etre utilise avec le 
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recepteur. Dans le cas ou un autre module de securite est utilise avec 
ce recepteur, les deux nombres aleatoires A et A' ne correspondront 
pas et la communication est interrompue. Si le module de securite et le 
recepteur sont reconnus comme pouvant echanger des informations 
5 I'un avec I'autre, la cle aleatoire Ci est utilisee comme cle de session, 
c'est-a-dire que toutes les informations echangees sous forme 
securisee entre le module de securite et le recepteur pendant une 
session donnee, par exemple jusqu'a ce que le module de securite soit 
retire, sont chiffrees au moyen de cette cle aleatoire. 

10 Ce mode de fonctionnement presente des lacunes du point de vue de la 
securite. En effet, le recepteur n'est pas considere comme un element 
sQr, contrairement au module de securite et il est possible de 
determiner la cle publique d'un recepteur grace a des moyens 
techniques et informatiques d'analyse. II est des lors possible de 

15 modifier un recepteur de telle sorte qu'il genere une cle predefinie en 
lieu et place d'une cle aleatoire Ci. Dans ce cas, la verification de la 
communication avec le module de securite s'effectuera avec une cle 
predetermine. De cette fagon, la cle "aleatoire" Ci etant connue, les 
messages peuvent etre dechiffres et, dans le cas de la television a 

20 peage en particulier, les informations necessaires au fonctionnement du 
systeme, notamment les « Control Words » peuvent etre dechiffres et 
mis a disposition de tiers, par exemple en utilisant un reseau 
informatique tel qu'lnternet. II est a noter que la cle aleatoire Ci est une 
cle symetrique. Lorsqu'elle est connue, soit parce qu'elle a ete imposee, 

25 soit parce qu'elle a ete obtenue d'une autre maniere, elle peut etre 
utilisee pour dechiffrer a la fois les messages provenant du recepteur et 
ceux provenant du module de securite. 

La presente invention se propose de pallier cet inconvenient en offrant 
un procede de transfert securise d' informations entre un recepteur et un 
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module de securite grace auquel le dechiffrement non autorise 
d'informations est particulierement complexe. 

Ce but est atteint par un procede d'echange securise d'informations 
entre deux dispositifs localement connectes entre eux, notamment entre 

5 un module de securite et un recepteur, le premier dispositif comportant 
au moins une premiere cle de chiffrement d'une paire de cles de 
chiffrement asymetriques et le second dispositif comportant au moins 
une seconde cle de chiffrement de ladite paire de cles de chiffrement 
asymetriques, ces cles etant prealablement initialisees dans le premier 

10 et le second dispositif, ce precede comportant les etapes consistant a : 

- generer, dans le premier dispositif au moins un premier nombre 
aleatoire, 

- generer, dans le second dispositif, au moins un second nombre 
aleatoire, 

15 - chiffrer ledit premier nombre aleatoire par ladite premiere cle de 
chiffrement, 

- chiffrer ledit second nombre aleatoire par ladite seconde cle de 
chiffrement, 

- transmettre ledit premier nombre aleatoire chiffre au second 
20 dispositif, 

- transmettre ledit second nombre aleatoire chiffre au premier 

dispositif, 

- dechiffrer, dans ledit second dispositif, le premier nombre 
aleatoire chiffre, 

25 - dechiffrer, dans ledit premier dispositif, le second nombre 
aleatoire chiffre 

- combiner lesdits nombres aleatoires generes par Tun des 
dispositifs et recus par I'autre dispositif pour generer une cle de 
session, 
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- et utiliser la cle de session pour chiffrer tout ou partie des 
Informations echangees entre le premier et le second dispositif. 

La presente invention et ses avantages seront mieux compris en 
reference a differents modes de realisation particuliers de I'invention et 
5 aux dessins annexes, dans lesquels : 

- la figure 1 represente un premier mode de realisation de la 
presente invention, 

- la figure 2 illustre un deuxieme mode de realisation de I'invention, 

- la figure 3 illustre de fagon schematique un type de structure de 
10 nombres tels qu'utilises dans le procede selon I'invention, et 

- la figure 4 represente un troisieme mode de realisation de cette 
invention. 

En reference a ces figures, la reference 10 represente de fagon 
schematique, un module de securite et la reference 1 1 , un recepteur. Le 

15 module de securite 1 0 et le recepteur 1 1 sont denommes conjointement 
les dispositifs dans la suite du texte. De fagon connue de I'homme du 
metier, le module de securite 10 peut prendre la forme notamment 
d'une carte a puce ou d'un connecteur contenant une puce tel qu'un 
connecteur connu sous I'appellation « dongle ». II est clair que d'autres 

20 formes de realisation pourraient etre imaginees sans sortir du cadre de 
la presente invention. Ce module de securite 10 contient une cle 
asymetrique privee PAKV d'une paire de cles asymetriques. Cette cle 
peut etre introduite dans le module de securite 10 par exemple lors de 
la fabrication du module ou dans une etape ulterieure, dans un centre 

25 de gestion de donnees ou grace a une liaison securisee entre ledit 
centre de gestion et le module de securite. Elle est stockee dans une 
memoire non volatile du module. 
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Le recepteur 1 1, en particulier dans le cas de la television a peage, est 
generalement forme d'un boTtier connecte au televiseur. II contient une 
cle asymetrique publique PAKB provenant de ladite paire de cles 
asymetriques. Cette cle publique est done appariee a la cle privee du 
5 module de securite. La cle publique est generalement programmee a la 
fabrication du recepteur ou lors d'une phase d'initialisation en milieu 
protege. Elle peut egalement etre telechargee de facon securisee par 
telediffusion. 

Dans le domaine de la television a peage notamment, il est souhaitable 
10 qu'un seul recepteur fonctionne avec un seul module de securite. Ceci 
permet d'eviter que des droits charges dans un module de securite 
appartenant a un titulaire donne puissent etre utilises dans plusieurs 
recepteurs appartenant a d'autres titulaires. Pour cette raison, le 
module de securite et le recepteur sont apparies de telle facon qu'un 
15 seul module de securite ne puisse fonctionner qu'avec un seul 
recepteur et inversement. Cet appariement est realis6 grace a la paire 
de cles asymetrique dont I'une des cles est liee au module de securite 
et dont I'autre cle est liee au recepteur. En principe, les paires de cles 
asymetriques sont uniques. Toutefois, en pratique, lorsque le nombre 
20 d'utilisateurs est tres eleve, il est possible d'attribuer plusieurs fois la 
meme paire de cles, tout en maintenant pratiquement nul, le risque que 
des droits soient echanges. Ce risque peut etre maintenu totalement nul 
en utilisant une cle symetrique supplemental unique, comme cela est 
explique ci-dessous en reference a la figure 4. 

25 Dans le mode de realisation illustre par la figure 1, le procede de 
I'invention se deroule de la facon suivante : lorsqu'une communication 
entre les deux dispositifs, a savoir le module de securite 10 et le 
recepteur 1 1 est initiee, le module de securite genere tout d'abord un 
nombre aleatoire A. Celui-ci est represents entoure d'un cercle sur la 

30 figure 1. Ce nombre aleatoire est chiffre dans le module de securite 10 
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par la cle privee PAKV, de facon a obtenir un nombre aleatoire chiffre A' 
(A'=PAKV(A)). Celui-ci est transmis au recepteur 11. Le nombre 
aleatoire chiffre A' est dechiffre dans le recepteur au moyen de la cle 
publique PAKB, ce qui permet d'obtenir le nombre aleatoire initial A. 

5 De facon inverse, le recepteur 11 genere un nombre aleatoire B, 
represents entoure d'un cercle sur la figure 1 . Ce nombre aleatoire B 
est chiffre dans le recepteur en utilisant la cle publique PAKB. On 
obtient done un nombre aleatoire chiffre B' (B'=PAKB(B)) qui est 
transmis au module de securite 10. Le nombre aleatoire chiffre B' est 

10 dechiffre dans le module de securite au moyen de la cle privee PAKV, 
ce qui permet d'obtenir le nombre aleatoire initial B. 

De cette facon, aussi bien le module de securite que le recepteur 
disposent du nombre aleatoire A genere par le module de securite et du 
nombre aleatoire B genere par le recepteur. Ces deux nombres 

15 al6atoires sont combines de facon a generer un nombre aleatoire, qui 
sera utilise, dans une premiere forme de realisation comme cle de 
session SK. La combinaison peut etre effectuee par une simple 
concatenation des deux nombres, par une fonction OU EXCLUSIF ou 
par toute autre combinaison appropriee. La cle de session SK ainsi 

20 generee est utilisee pour toutes les communications securisees entre le 
module de securite et le recepteur. 

Ce mode de realisation offre une grande securite a I'utilisateur puisqu'il 
est repute etre impossible de connaTtre la cle privee contenue dans le 
module de securite. S'il est possible d'imposer un nombre determine en 

25 lieu et place du nombre aleatoire B dans le recepteur, il n'est par contre 
pas possible d'imposer un nombre aleatoire A dans le module de 
securite. De maniere similaire, on peut, par des moyens techniques 
sophistiques, determiner la cle publique PAKB, mais on ne peut pas en 
deduire la cle privee PAKV. Par consequent, le fait que chacun des 

30 dispositifs genere un nombre aleatoire et que ces nombres sont chiffres 
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avec des cles asymetriques, empeche de tromper le dispositif en 
imposant des cles et des nombres determines. 

Dans le mode de realisation selon la figure 2, comme dans celui de la 
figure 1, un nombre al6atoire est genere par chacun des dispositifs. II 

5 est chiffre par la cle correspondante et transmis a I'autre dispositif sous 
forme chiffree. Le nombre aleatoire A recu par le recepteur 11 est 
ensuite chiffre de nouveau, cette fois par la cle publique PAKB du 
recepteur, de facon a obtenir un nouveau nombre chiffre A" 
(A'-PAKB(A)) qui est envoye au module de securite 10. II y est 

10 dechiffre grace a la cle privee PAKV. Si les cles privee PAKV et 
publique PAKB utilisees respectivement dans le module de securite 10 
et dans le recepteur 11 sont appariees, le nombre A ainsi obtenu est 
identique au nombre aleatoire A d'origine genere par le module de 
securite. Tel que decrit en reference a la figure 2, le precede comporte 

15 une etape de comparaison 1 2 entre le nombre aleatoire A provenant du 
dechiffrement du nombre A" chiffre dans le recepteur 11 et le nombre 
aleatoire A genere par le module de securite 10. Si ces nombres ne 
sont pas identiques, on peut en deduire que le module de securite n'est 
pas apparie au recepteur et que les communications ou les transferts 

20 d'informations doivent etre interrompus. Ceci peut par exemple se 
produire lorsqu'un module de securite est introduit dans un recepteur 
different de celui pour lequel il a ete apparie ou lorsqu'un module de 
securite est simule par exemple au moyen d'un ordinateur. 

De facon similaire, le nombre aleatoire B recu par le module de securite 
25 10 est egalement chiffre par la cle privee PAKV de ce module, de facon 
a obtenir un nombre chiffre B" (B"=(PAKV(B)). Celui-ci est envoye au 
recepteur 11, dans lequel il est dechiffre au moyen de la cle publique 
PAKB. On obtient ainsi un nombre aleatoire B qui est compare au 
nombre aleatoire B d'origine genere par le recepteur 11. Comme 
30 precedemment, les deux nombres aleatoires sont compares dans une 
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etape de comparaison 12. Si ces deux nombres aleatoires ne sont pas 
identiques, la communication est interrompue. 

Si la comparaison des nombres aleatoires donne un resultat positif, 
c*est-a-dire si le module de securite 10 et le recepteur 1 1 sont appari6s, 
5 une cle de session SK est generee en utilisant une combinaison des 
nombres aleatoires A et B. Cette cle de session est utilisee pour les 
communications securisees ulterieures entre le module de securite et le 
recepteur. 

Ce mode de realisation presente I'avantage que les nombres aleatoires 
10 avant et apres chiffrement sont compares aussi bien dans le module de 
securite 10 que dans le recepteur 11. De cette facon, meme si un tiers 
s'approprie de la cle publique du recepteur, celles-ci ne pourront pas 
etre utilisees pour dechiffrer les messages 6changes entre le module de 
securite et le recepteur. De meme, si un module de securite est utilise 
15 sur un recepteur pour lequel il n'est pas prevu, les informations ne 
pourront pas etre dechiffrees. 

Dans le precede selon la figure 3, on ajoute au nombre aleatoire tel que 
decrit precedemment, par exemple le nombre aleatoire A tel que decrit 
en reference aux figures 1 et 2, deux parties b et c ayant chacune une 
20 fonction predefine, b est un nombre aleatoire genere dans le module de 
securite 10. c est un nombre predefini fixe, denomme "motif, qui est 
memorise dans le module de securite 10 et dans le recepteur 11. Ce 
motif peut par exemple etre forme d'une succession de 0 et de 1 
alternes. 

25 Selon une premiere forme de realisation, les trois elements, a savoir le 
nombre aleatoire A, le nombre aleatoire b et le motif c sont chiffres au 
moyen de la cle privee PAKV. On obtient ainsi un nombre A* tel que 
A*=PAKV (A, b, c). 
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Ce nombre A* est transmis au recepteur 1 1 , dans lequel il est dechiffre 
au moyen de la cle publique PAKB. Ce dechiffrement doit aboutir aux 
trois nombres A, b et c si le module de securite 10 et le recepteur 11 
sont apparies. Comme le nombre c a une valeur predefinie connue, le 
5 recepteur peut facilement effectuer une verification de cette valeur. A 
cet effet, le recepteur effectue une comparison entre la valeur de c 
memorisee dans le recepteur et celle obtenue apres dechiffrement. Si 
ces deux valeurs ne sont pas identiques, I'echange d'informations avec 
le module de securite est arrete. 

10 Le nombre aleatoire b est renvoye pour verification au module de 
securite 10. Pour ceci, il est tout d'abord chiffre dans le recepteur 1 1 au 
moyen de la cle publique PAKB, ce qui donne le nombre b" 
(b"=PAKB(b)). Ce nombre b" est ensuite envoye au module de securite 
10 dans lequel il est dechiffre grace a la cle privee PAKV. Le nombre 

15 ainsi dechiffre est compare au nombre b initial et I'echange 
d'informations est interrompu si ces deux nombres ne sont pas 
identiques. 

Selon une deuxieme forme de realisation, les trois elements, a savoir le 
nombre aleatoire A, le nombre aleatoire b et le motif sont chiffres 
20 separement dans le module de securite 10 au moyen de la cle privee 
PAKV. On obtient alors trois nombres chiffres. Lors du dechiffrement, 
pour autant que le module de securite et le recepteur soient apparies, 
on obtient les nombres aleatoires A et b, ainsi que le motif c, comme 
precedemment. 

25 La cle de session SK est formee d'une combinaison selon une regie 
connue, du nombre aleatoire A generee par le module de securite 10, 
du nombre aleatoire B genere par le recepteur et eventuellement du 
nombre aleatoire b genere par le module de securite et/ou du motif c. 
Comme tous ces elements sont connus aussi bien par le module de 

30 securite 10 que par le recepteur 1 1 , la cle de session peut etre formee. 
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Ce mode de realisation est avantageux a differents points de vues. 
D'une part, il permet d'effectuer une premiere verification de 
I'appariement du module de securite 10 et du recepteur 11 grace au 
motif c, en utilisant une communication unidirectionnelle entre les deux 

5 dispositifs. Lorsque les dispositifs ne sont pas apparies, il est 
souhaitable d'effectuer aussi peu d'echanges d'informations que 
possible, ce qui est realise grace a la verification du contenu du motif c. 
D'autre part, en renvoyant le nombre aleatoire b, il est possible de 
verifier de maniere sure et fiable, I'appariement entre ces deux 

10 dispositifs, sans toutefois transmettre deux fois le nombre aleatoire A. 
Ceci ameliore encore la securite des echanges d'informations puisque 
I'on minimise la quantite d'informations confidentielles qui sont 
echangees entre les deux dispositifs. 

II est a noter que Ton peut egalement ajouter au nombre aleatoire A, 
15 uniquement un motif c. La verification de I'appariement entre les deux 
dispositifs ne se fait alors que sur le motif c. De maniere similaire, on 
peut egalement ajouter au nombre aleatoire A, uniquement un autre 
nombre aleatoire b, sans motif c, la verification se faisant dans le 
module de securite 10, sur le nombre aleatoire b. 

20 Dans le mode de realisation illustre par la figure 4, les premieres etapes 
du procede se deroulent de la meme fagon que dans celui illustre par la 
figure 2. Des nombres aleatoires A et B sont generes respectivement 
par le module de securite 10 et par le recepteur 1 1 . lis sont echanges et 
verifies de facon a s'assurer que le module de securite 10 et le 

25 recepteur 11 sont bien apparies. Dans ce mode de realisation, le 
module de securite et le recepteur disposent en outre d'une cle 
symetrique PHK, portant la reference 13. Les nombres aleatoires A et B 
ne sont pas simplement combines entre eux pour obtenir une cle de 
session SK, comme dans le mode de realisation de la figure 2, mais ils 

30 sont egalement combines avec la cle symetrique 13. La combinaison de 



10 



WO 03/107585 ^fc»CT/IB03/02425 

ces trois elements peut se faire comme precedemment, par 
concatenation ou par toute autre fonction appropriee. Selon une forme 
particuliere de I'invention, la cle de session SK est formee par le 
chiffrement par la cle symetrique 13 des deux nombres A et B 
5 concatenes (SK = PHK (A, B)). 

Ceci presente I'avantage de rendre encore plus difficile le dechiffrement 
non autorise de messages et oblige a disposer de toutes les cles pour 
pouvoir obtenir une information utilisable. La securite du dispositif est 
ainsi encore renforcee. Ce mode de realisation est egalement 

10 avantageux parce qu'il est relativement long et difficile de generer un 
tres grand nombre de paires de cles asymetriques differentes. Pour des 
questions de simplification, face a un tres grand nombre d'utilisateurs, il 
est souhaitable d'assigner la meme paire de cles a plusieurs couples 
module de securite / recepteur. Par contre, la cle symetrique est unique. 

15 Ainsi, en utilisant une cle symetrique en plus des autres cles, il est 
possible de garantir qu'un module de securite est uniquement utilisable 
avec le recepteur correspondant. 

II est possible de memoriser la cle de session generee par exemple lors 
de la premiere utilisation du dispositif et d'utiliser toujours cette cle. 

20 Toutefois, pour des raisons de securite, il est judicieux de generer une 
nouvelle cle chaque fois qu'une nouvelle session est commencee, une 
session etant definie comme la periode separant le debut et la fin de 
I'echange d'informations entre les deux dispositifs. Afin d'augmenter 
encore la securite des communications, il est meme possible de 

25 changer de cle selon des intervalles choisis, par exemple reguliers ou 
selon un algorithme defini, pendant une meme session, par exemple 
toutes les deux heures. Ainsi, toutes les informations qui auraient pu 
etre obtenues de fagon non autorisee, ne pourront plus etre utilisees 
apres cette duree maximale de validite de la cle de session. 
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Selon un mode de realisation particulier de I'invention, on peut utiliser 
un module de securite "intelligent" ou des moyens analogues, qui 
permettent de mesurer differents parametres physiques, tels que 
notamment I'impedance de ligne ou la consommation electrique. La 

5 valeur de ce ou de ces parametres est comparee, a intervalles 
reguliers, a une valeur de reference. Lorsque Ton constate une 
difference, au-dela d'un seuil de tolerance, entre ces valeurs 
comparees, on peut en deduire qu'il existe un risque de lecture non 
conforme d'informations sur le systeme. Dans ce cas, on peut, bien que 

10 cela ne soit pas une solution preferee, couper tout echange 
d'informations entre le recepteur et le module de securite. Une solution 
preferee consiste a envoyer une requete au recepteur, demandant la 
generation d'une nouvelle cle de session. L'echange d'informations est 
bloque si le recepteur n'obtempere pas. Ceci permet d'obtenir un 

15 systeme dynamique dans lequel toute tentative d'acces a des 
informations confidentielles est surveillee. La mesure des parametres 
physiques peut egalement etre implantee dans le recepteur. 

Comme cela est bien connu de I'homme du metier, un recepteur pour la 
television a peage comporte essentiellement une unite de calcul, une 

20 memoire morte, un demultiplexeur, un desembrouilleur, un 
convertisseur numerique/analogique, une memoire externe et un 
decompresseur de son et d'images. Dans les systemes actuels, I'unite 
de calcul, la memoire morte et le desembrouilleur peuvent §tre 
contenus dans une meme puce electronique. Dans les systemes de I'art 

25 anterieur, la cle publique PAKB est generalement contenue dans la 
memoire externe. Celle-ci est accessible, de sorte qu'il est possible de 
lire ou de modifier son contenu, ce qui peut engendrer des risques de 
lecture non autorisee d'informations. 

Afin de minimiser ce risque, la cle publique PAKB et/ou la cle 
30 symetrique 13 peut avantageusement etre stockee soit dans la memoire 
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morte, soit dans le desembrouilleur. Ceci augmente tres fortement la 
securite, parce que, pour modifier I'une des cles, il est indispensable de 
changer de puce electronique, ce qui est peu interessant du point de 
vue economique et qui implique que Ton puisse se procurer des puces 
contrefaites. La securite des communications est ainsi particulierement 
efficace. 

II est a noter que, dans la description qui precede, la cle portant la 
reference 13 sur la figure 4 et decrite comme etant une cle symetrique. 
II est toutefois egalement possible d'utiliser une paire de cles 
asymetriques a la place de cette cle symetrique. Dans ce cas, on utilise 
deux paires de cles asymetriques. L'une des paires de cles peut etre 
commune pour un groupe d'utilisateurs et I'autre peut etre unique. Les 
deux paires peuvent egalement etre uniques. 

Dans la description des exemples ci-dessus, le premier dispositif 
correspond au module de securite et le deuxieme dispositif correspond 
au recepteur. II est clair que le precede selon I'invention fonctionne de 
la meme maniere si le premier dispositif est le recepteur et le deuxieme 
dispositif est le module de securite. 
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REVENDICATIONS 



1. Precede d'echange securise ^informations entre deux dispositifs 
localement connects entre eux, notamment entre un module de 
securite et un recepteur, le premier dispositif (10) comportant au moins 
une premiere cle de chiffrement (PAKV) d'une paire de cles de 
chiffrement asymetriques et le second dispositif (11) comportant au 
moins une seconde cle de chiffrement (PAKB) de ladite paire de cles de 
chiffrement asymetriques, ces cl6s etant prealablement initialises dans 
le premier et le second dispositif, ce procede comportant les etapes 
consistant a : 

- generer, dans le premier dispositif (10) au moins un premier 
nombre aleatoire (A), 

- generer, dans le second dispositif (11), au moins un second 
nombre aleatoire (B), 

- chiffrer ledit premier nombre aleatoire (A) par ladite premiere cle 
de chiffrement (PAKV), 

- chiffrer ledit second nombre aleatoire (B) par ladite seconde cle 
de chiffrement (PAKB), 

- transmettre ledit premier nombre aleatoire chiffre (A') au second 
dispositif (11), 

- transmettre ledit second nombre aleatoire chiffre (B*) au premier 
dispositif (10), 

- dechiffrer, dans ledit second dispositif (11), le premier nombre 
aleatoire chiffre (A), 

- dechiffrer, dans ledit premier dispositif (10), le second nombre 
aleatoire chiffre (B') 

- combiner lesdits nombres aleatoires (A, B) generes par I'un des 
dispositifs (10, 11) et recus par I'autre dispositif pour generer une 
cle de session (SK), 
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- et utiliser la cle de session (SK) pour chiffrer tout ou partie des 
informations echangees entre le premier et le second dispositif 
(10, 11). 

2. Procede d'echange d'informations selon la revendication 1, 
caracterise en ce que le nombre aleatoire (A), genere par le premier 
dispositif (10) et dechiffre par le second dispositif (11) 

- est chiffre par ledit second dispositif (11) au moyen de ladite 
seconde cle de chiffrement (PAKB), 

- est transmis de facon chiffree audit premier dispositif (1 0), 

- est dechiffre dans ce premier dispositif (10) au moyen de la 
premiere cle de chiffrement (PAKV) et 

- est compare audit nombre aleatoire (A) gen6re par le premier 
dispositif (10), 

et en ce que le transfert d'informations est arrete si les nombres 
aleatoires compares ne sont pas identiques. 

3. Procede d'echange d'informations selon la revendication 1, 
caracterise en ce que le nombre aleatoire (B), genere par le second 
dispositif (1 1 ) et dechiffre par le premier dispositif (10) 

- est chiffre par ledit premier dispositif (10) au moyen de ladite 
premiere cle de chiffrement (PAKV), 

- est transmis de facon chiffree audit second dispositif (1 1 ), 

- est dechiffre dans ce second dispositif (11) au moyen de la 
seconde cle de chiffrement (PAKB) et 

- est compare audit nombre aleatoire (B) genere par le second 
dispositif (11), 

et en ce que le transfert d'informations est arrete si les nombres 
aleatoires compares ne sont pas identiques. 
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4. Procede d'echange d'informations selon la revendication 1, dans 
lequel ledit premier dispositif (10) et ledit second dispositif (11) 
contiennent une cle de chiffrement symetrique (13), caracterise en ce 
que les nombres aleatoires (A, B) sont combines avec ladite cle 
symetrique (1 3) pour generer une cle de session (SK). 

5. Procede d'echange d'informations selon la revendication 1 ou 4, 
caracterise en ce que la combinaison est une concatenation. 

6. Procede d'echange d'informations selon la revendication 1, 
caracterise en ce que I'on regenere la cle de session (SK) en fonction 
d'un parametre d'utilisation determine. 

7. Procede d'echange d'informations selon la revendication 6, 
caracterise en ce que le parametre d'utilisation determine est la duree 
d'utilisation. 

8. Procede d'echange d'informations selon la revendication 1, 
caracterise en ce qu'au moins I'un des deux dispositifs (10, 11) mesure 
au moins un parametre physique representatif de la communication, 
tels que I'impedance de ligne et/ou la consommation electrique, en ce 
que I'on compare les valeurs mesurees a des valeurs de reference, et 
en ce que Ton agit sur I'echange d'informations lorsque les parametres 
mesures different des valeurs de reference de plus d'une valeur de 
seuil. 

9. Procede d'echange d'informations selon la revendication 8, 
caracterise en ce que I'on agit en arretant I'echange d'informations entre 
les deux dispositifs (10, 11). 
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10. Procede d'echange d'informations selon les revendications 6 et 8, 
caracterise en ce que le parametre d'utilisation determine est le 
parametre physique representatif de la communication. 



11. Procede d'echange d'informations selon la revendication 1, 
caracterise en ce que 

- au moins I'un des dispositifs (10, 11) genere au moins un 
nombre aleatoire supplementaire (b), 

- ce nombre aleatoire supplementaire (b) est chiffre par ladite 
premiere cle de chiffrement (PAKV), 

- ce nombre aleatoire supplementaire chiffre est transmis au 
second dispositif (11), 

- ce nombre aleatoire supplementaire chiffre transmis est dechiffre 
dans ce second dispositif (1 1 ), 

- le nombre aleatoire supplementaire dechiffre est chiffre par ladite 
deuxieme cle de chiffrement (PAKB) 

- le nombre aleatoire supplementaire chiffre est transmis au 
premier dispositif (1 0) 

- le nombre aleatoire supplementaire dechiffre dans le premier 
dispositif est compare au nombre aleatoire supplementaire initial 
(b) genere dans ledit premier dispositif, 

- I'echange d'information est interrompu si la comparaison indique 
que les deux nombres compares ne sont pas identiques. 

12. Procede d'echange d'informations selon la revendication 1, 
caracterise en ce que 

- au moins I'un des dispositifs (10, 11) determine au moins un 
nombre fixe predefini (c) memorise dans les deux dispositifs (10, 

11), 
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- ce nombre fixe predefini (c) est chiffre par ladite premiere cle de 
chiffrement (PAKV), 

- ce nombre fixe predefini chiffre est transmis au second dispositif 

(11). 

- ce nombre fixe predefini chiffre transmis est dechiffre dans ce 
second dispositif (11), 

- le nombre fixe predefini dechiffre dans le deuxieme dispositif est 
compare au nombre fixe predefini memorise dans ce deuxieme 
dispositif, 

- I'echange d'information est interrompu si la comparaison indique 
que les deux nombres compares ne sont pas identiques. 

13. Procede d'echange d'informations selon la revendication 11 ou 12, 
caracterise en ce que Ton chiffre chacun des nombres (A, b, c) 
separement. 

14. Procede d'echange d'informations selon la revendication 11 ou 12, 
caracterise en ce que I'on chiffre une combinaison de chacun des 
nombres (A, b, c). 

15. Recepteur pour la mise en ceuvre du procede selon Tune 
quelconque des revendications 1 a 14, ce recepteur comportant au 
moins une unite de calcul, une memoire morte, un demultiplexer, un 
desembrouilleur, un convertisseur numerique/analogique, une memoire 
externe et un decompresses de son et d'images, caracterise en ce 
qu'au moins I'unite de calcul, la memoire morte et le desembrouilleur 
sont contenus dans une meme puce electronique et en ce qu'au moins 
I'une des cles de chiffrement (PAKB, 13) est stockee dans ladite puce 
electronique. 
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16. Recepteur selon la revendication 15, caracterise en ce qu'au moins 
Tun des nombres (A, b, c) est stocke dans ladite puce electronique. 



19 





FIG. 3 



1/2 



BEST AVAILABLE COPY 




f(A;B;H) 



FIG. 4 



2/2 



INTERNATIO 



BEST AVAILABLE COPY 

EARCH REPORT 



lnt< nal AgDllcatlon No 

PCT/IB^y 02425 



A. CLASSIFICATION OF SUBJECT MATTER 

IPC 7 H04L9/08 H04N7/16 



According to International Patent Classification (IPC) orto b oth national classification and IPC 

B. FIELDS SEARCHED , . - 

Minimum documentation searched (classification system followed by classification symbols) 

IPC 7 H04L H04N 

Documentation searched other than minimum do cumentatton to the extent that such documents are incU,ded In the fields searchea 



Electronic data base consulted during the in ternational search (name of data base and, where practical, search terms useo, 

EPO-Internal , WPI Data, PAJ, INSPEC 



C. DOCUMENTS CONSIDERED TO BE RELEVANT 



Category • 



Citation of document, wfth Indication, where appropriate, of the relevant passages 



WO 97 38530 A (DAVIES DONALD WATTS 
:GLASSP00L ANDREW (GB); DIGCO B V (NL); 
RIX SI) 16 October 1997 (1997-10-16) 
cited in the application 
the whole document 

US 5 371 794 A (AZIZ ASHAR ET AL) 
6 December 1994 (1994-12-06) 
abstract; figures 5A,B 



Relevant to dalm No. 



1,15 



□ 



Further documents are listed In the continuation of box C. 



Patent family members are listed In annex. 



» Special categories of cited documents : 

I 'A' document defining the general state of the art which Is not 
considered to be of particular relevance 
■E - earlier document but published on or after the International 
filing date 

document which may throw doubts on priority claJm(s) or 
which is cited to establish the publication date of another 
citation or other special reason (as specified) 
■O- document referring to an oral disclosure, use, exhibition or 
other means 

P« document published prior to the international filing date but 
later than the priority date claimed 

I Date of the actual completion of the international search 

30 September 2003 



T later document published after the International fifing date 
apriority date and not in conflict with the application but 
cited to understand the principle or theory underlying the 
invention 

•X' document of particular relevance; the claimed invention 
cannot be considered novel or cannot be considered to 
involve an Inventive step when the document is taken alone 

'V document of particular relevance; the claimed invention 

cannot be considered to involve an Inventive step when tne 
document is combined with one or more other such docu- 
ments, such combination being obvious to a person skilled 
in the art 

'&■ document member of the same patent family 
Dale of mailing of the international search report 



10/10/2003 



Name and mailing address of the ISA 

European Patent Office, P.B. 5818 Patentlaan 2 
NL-2280HV Rijswijk 
Tel. (+31-70) 340-2040, Tx. 31 651 epo nl. 
Fax (+31-70) 340-3016 



Authorized officer 



Holper, G 



Form PCT71SA/210 (second sheet) (July 1992) 



BEST AVAILABLE COPY 



INTERNATI 



SEARCH REPORT 



In lonalAppllcatlon No 

PCT/I^/02425 



Patent document 
cited in search report 


f Publication 

date 

1 1 


Patent family 
member(s) 


Publication 

date t 


WO 9738530 


A 16-10-1997 


AT 

Al 




i c r\c onnn 
lb-U6— ZUUU 




All 

AU 




on in i nn7 

29-10—199/ 






DD 
bK 




no no i n rtn 

03-08— I9yy 






LA 


L^OUoOO r\JL 


i c in i nn*7 
16-10—199/ 






CM 

UN 


191KJ;9ft A 


r\ n nil i nnn 

28-04—1999 






Ut 


oy/u^oiu ujl 


on n*7 onnn 

20-07-2000 






Ut 


Oy / \)c.3 1U 1 c 


i o ni onni 

18-01-2001 






Un 


ID/ U 1 O 


on i n onnn 
30-10— ZOUU 






WU 


Q71QK^O Al 


16-10— 19y/ 






CD 
EP 


HQQ 1 A7H Al 

uoyio/u mi 


on ni 1 nnn 

20— ui— lyyy 






ES 


2149585 T3 


ni 1 1 onnn 
01-11-2000 






GR 


3034392 T3 


on i o onnn 
29-12— ZOUU 






HR 


970160 Al 


r\ n no i nno 

28-02—1998 






JP 


2000508482 T 


04-07-2000 






PT 


891670 T 


29-12-2000 






US 


2002126844 Al 


12-09-2002 






US 


6385317 Bl 


07-05-2002 






ZA 


9702786 A 


23-10-1997 


US 5371794 


A 06-12-1994 


EP 
JP 
US 


0651533 A2 
7193569 A 
RE36946 E 


03-05-1995 
28-07-1995 
07-11-2000 



Form PCT/1SA/210 (patent family annex) (July 1992) 



BEST AVAILABLE rSQRY 



RAPPORT DE RECMKCHE INTERNATIONALE 



Dc el 




PCT/I^P/02425 



A. CLASSEMENT DE L'OBJET DE LA DEMANDE 

CIB 7 H04L9/08 H04N7/16 



Selon la classification Internationale des brevets (CIB) ou a la fols selon la classlflcallon nallonate el la CIB 



B. DQMAINES SUR LESQUELS LA RECHERCHE A PORTE 



Documentation mlnlmale consullee (systems de classlflcallon suhrt des symboles de classement) 

CIB 7 H04L H04N 



Documentation consullee autre que la documentation mlnlmale dans la mesure ou ces documents relevenl des domalnes sur tesquels a porta la recherche 



de donnees etectronlque consultee au cours de la recherche Internationale (nom de la base de donnees. et si realisable, termes de recherche utilises) 

EPO-Internal, WPI Data, PAJ, INSPEC 



C. DOCUMENTS CONSIDERES COMME PERTINENTS 



Categorle ' Identification des documents cites, avec. le cas echeant, rindicatlon des passages pertinents 



no. des revendicatlons visees 



WO 97 38530 A (DAVIES DONALD WATTS 
:6LASSP00L ANDREW (GB); DI6C0 B V (NL); 
RIX SI) 16 octobre 1997 (1997-10-16) 
cite dans la demande 
le document en entler 

US 5 371 794 A (AZIZ ASHAR ET AL) 
6 decembre 1994 (1994-12-06) 
abrege; figures 5A,B 



1,15 



□ 



Voir la suite du cadre C pour la fin de la lisle des documents 



ID 



Les documents de families de brevets sont indkjues en annexe 



> Categories speclales de documents cites: 

■A' document definlssant fetat general de la technique, non 

considers comme parttculierement pertinent 
•E* document anterieur, mate publle a la date de depot International 

ou apres cette date 
■L" document pouvant Jeter un doute sur une revendlcatlon i de 
priorite oucite pour determiner la date de publication tfune 
autre citation ou pour une ralson speclale (telle qulndlquee) 
•O' document se referent a une divulgation orale, a un usage, a 

une exposition ou tousautres moyens 
■P" document publle avant la date de depot International, rnais 

posterieurement a la date de prlorlte revendlquee 



*T" document ulterieur publle apres la date de depot International ou la 
date de prlorlte et n'appartenenant pas a Fetat de la 
technique pertinent, mals cite pour comprendre le pnnclpe 
ou la theorie constttuant la base de reinvention 

■X* document partlcuiierement pertinent; rinven tion revendlquee ne peut 
etre consideree comme nouvelle ou comme impllquant une actrvtte 
Inventive par rapport au document consider© Isolement 

•V document particullerement pertinent; rinven Won revendiquee 
ne peut etre consideree comme Impllquant une activite inventive 
lorsque le document est associe a un ou plusleurs autres 
documents de meme nature, cette comblnaison etant evidente 
pour une personne du metier 

'&" document qui fait partie de la meme famflle de brevets 



Date a laqueBe la recherche Internationale a et6 effectivement achevee 

30 septembre 2003 



Date d'expedltion du present rapport de recherche Internationale 

10/10/2003 



| Nom et adresse postale de radministratlon chargee de la recherche internationals 
Office Europeen des Brevets, P.B. 5818 Patentlaan 2 
NL-2280 HV RijswIJk 
TeL (+31-70) 340-2040, Tx. 31 651 epo nl, 
Fax: (+31-70) 340-3016 



Fonctlonnalre autorise 

Holper, 6 



Foimutalre PCT/ISA«10 (deuxifeme leuWa) OuDlat 1892) 



BEST AVAILABLE COPY 



RAPPORT DE REC 



HE INTERNATIONALE 



Dei 



t Internationale No 



PCT/Il 



'02425 



| Document brevet cite 


Date de 
publication 


Membre(s) de la 
famille de brevet(s) 


Datede 
publication 



US 5371794 



06-12-1994 



AU — 

BR 9708500 A 

CA 2250833 Al 

CN 1215528 A 

DE 69702310 Dl 

DE 69702310 T2 

DK 891670 T3 

W0 9738530 Al 

EP 0891670 Al 

ES 2149585 T3 

6R 3034392 T3 

HR 970160 Al 

JP 2000508482 T 

PT 891670 T 

US 2002126844 Al 

US 6385317 Bl 

ZA 9702786 A 



EP 
OP 
US 



0651533 A2 
7193569 A 
RE36946 E 



03- 08- 
16-10- 

28- 04- 
20-07- 
18-01- 
30-10- 
16-10- 
20-01- 
01-11 

29- 12 
28-02 

04- 07 



1999 

•1997 

•1999 

-2000 

-2001 

-2000 

-1997 

-1999 

-2000 

-2000 

-1998 

-2000 



29-12-2000 
12-09-2002 
07-05-2002 
23-10-1997 



03-05-1995 
28-07-1995 
07-11-2000 



Formulate PCT/ISA/210 (annexe families de brevets) Quillet 1SS2) 



